Motyw
Analiza ryzyka
Moduł Analiza ryzyka (menu RYZYKO) gromadzi karty ryzyka - zagrożenia, które mogą wpłynąć na bezpieczeństwo lub ciągłość działania organizacji. Każda karta jest oceniana pod kątem prawdopodobieństwa i skutków; wynik decyduje o priorytecie działań.
Zakładki modułu
U góry (kafelki obok tytułu) dostępne są cztery obszary:
- Analiza ryzyka - wejście i przegląd modułu (wprowadzenie do analizy)
- Karty ryzyka - praca z rejestrem kart ryzyka
- Scenariusze ryzyka - ścieżki edukacyjne / scenariusze (Akademia scenariuszy)
- Dashboard ryzyka - zbiorcze metryki i zestawienia
Aktywną zakładkę możesz utrwalić w adresie: parametr ?tab= (np. overview, cards, scenarios, dashboard).
Widoki listy
W zakładce z kartami ryzyka możesz zmienić sposób prezentacji listy - przełączniki widoku na pasku narzędzi:
- Widok kart - przegląd wizualny z kolorowym oznaczeniem poziomu ryzyka, widoczne najważniejsze parametry bez otwierania szczegółów
- Widok tabeli - zwarta lista z możliwością sortowania po każdej kolumnie; wygodna przy dużej liczbie ryzyk
Dodawanie ryzyka
Kliknij Dodaj kartę ryzyka w prawym górnym rogu. Formularz podzielony jest na sekcje:
Identyfikacja zasobu
| Pole | Typ | Opis | Przykład |
|---|---|---|---|
| Nazwa zasobu | tekst | Czego dotyczy ryzyko - nazwa systemu, procesu lub obszaru | „Serwer pocztowy Exchange" |
| Elementy składowe | tekst | Konkretne komponenty zasobu | „Baza danych, moduł SMTP" |
| Obszar ryzyka | lista słownikowa | Kategoria zagrożenia | IT, prawny, operacyjny, kadrowy, fizyczny |
| Zagrożenie | lista słownikowa | Rodzaj zagrożenia | Atak hakerski, awaria sprzętu, błąd ludzki |
Ocena ryzyka
| Pole | Typ | Opis |
|---|---|---|
| Podatność | tekst | Słabość, którą zagrożenie może wykorzystać |
| Opis podatności | tekst (pole długie) | Szczegółowy opis luki lub słabości |
| Prawdopodobieństwo | skala 1–5 | Jak często zagrożenie może się zmaterializować |
| Ryzyko BI | wyliczane | Wartość ryzyka dla ciągłości działania (obliczana automatycznie) |
| Ryzyko RODO | wyliczane | Wartość ryzyka w kontekście ochrony danych osobowych |
| Ryzyko UKSC | wyliczane | Wartość ryzyka wg ustawy o KSC (ustawa o cyberbezpieczeństwie) |
Jak obliczana jest ocena ryzyka?
Ocena ryzyka w systemie obliczana jest jako iloczyn:
Prawdopodobieństwo × Wpływ = Ocena z zakresu 1–25
- Prawdopodobieństwo (1–5) - jak często dane zagrożenie może wystąpić
- Wpływ (1–5) - jak poważne byłyby skutki dla organizacji
Wynik 1–4 oznacza ryzyko niskie, 5–9 średnie, 10–16 wysokie, 17–25 krytyczne.
Plan postępowania z ryzykiem
| Pole | Typ | Opis |
|---|---|---|
| Obecne zabezpieczenia | tekst | Co jest już wdrożone, żeby ograniczyć ryzyko |
| Plan postępowania | tekst | Planowane działania naprawcze lub akceptacja ryzyka |
| Właściciel ryzyka | lista użytkowników | Osoba odpowiedzialna za monitorowanie i obsługę tego ryzyka |
| Szacowany koszt | liczba | Szacunkowy koszt wdrożenia zabezpieczeń |
| Termin realizacji | data | Planowana data wdrożenia środków zaradczych |
Ryzyko szczątkowe (po mitygacji)
| Pole | Typ | Opis |
|---|---|---|
| Ryzyko szczątkowe BI | skala | Ocena ryzyka po zastosowaniu środków zaradczych |
| Ryzyko szczątkowe RODO | skala | Ocena szczątkowa w kontekście RODO |
| Ryzyko szczątkowe UKSC | skala | Ocena szczątkowa wg KSC |
| Akceptowalne | tak/nie | Czy kierownictwo zaakceptowało pozostałe ryzyko |
Właściciel i powiązania
| Pole | Typ | Opis |
|---|---|---|
| Właściciel biznesowy | tekst | Kierownik lub właściciel procesu po stronie biznesowej |
| Właściciel techniczny | tekst | Administrator lub specjalista IT odpowiedzialny technicznie |
| Uwagi / komentarze | tekst (pole długie) | Dodatkowe notatki, kontekst, historia decyzji |
Powiązania z innymi elementami
W formularzu możesz powiązać ryzyko z:
- Zaleceniami - jeśli z tego ryzyka wynikają konkretne rekomendacje
- Działaniami korygującymi - gdy trwają formalne działania naprawcze
- Planem ciągłości działania - powiązanie z procedurami kryzysowymi
- Podatnościami - konkretne luki techniczne, które są źródłem ryzyka
- Incydentami - zdarzenia, które ujawniły to ryzyko
- Zasobami - aktywa, których ryzyko dotyczy
- Dostawcami zewnętrznymi - gdy ryzyko dotyczy łańcucha dostaw
Kliknij Zapisz po uzupełnieniu wszystkich pól.
Poziomy ryzyka - przykłady
System automatycznie wylicza poziom ryzyka na podstawie prawdopodobieństwa i ocen wpływu. Wynik jest oznaczany kolorem:
| Kolor | Poziom | Zakres wynikowy | Co to oznacza | Przykład |
|---|---|---|---|---|
| Zielony | Niskie | 1–4 | Ryzyko akceptowalne, monitorowanie wystarczające | Możliwość drobnego błędu w raporcie (wpływ 1) |
| Żółty | Średnie | 5–9 | Wskazane działania zapobiegawcze | Przystare oprogramowanie bez krytycznych luk (wpływ 3, prawdopodobieństwo 2) |
| Pomarańczowy | Wysokie | 10–16 | Wymagane działania naprawcze w określonym terminie | Awaria serwera bez redundancji (wpływ 4, prawdopodobieństwo 4) |
| Czerwony | Krytyczne | 17–25 | Natychmiastowe działania i eskalacja do kierownictwa | Atak ransomware na krytyczny system (wpływ 5, prawdopodobieństwo 5) |
Uwaga
Ryzyko krytyczne musi być niezwłocznie przekazane do kierownictwa. System automatycznie wysyła powiadomienie, gdy ryzyko osiąga poziom krytyczny.
Szczegóły ryzyka
Kliknij dowolną kartę lub wiersz, aby otworzyć panel boczny ze szczegółami:
Zakładki w panelu szczegółów
| Zakładka | Co zawiera |
|---|---|
| Ogólne | Pełna ocena ryzyka przed i po mitygacji |
| Historia | Historia zmian oceny z datami i autorami |
| Zalecenia | Powiązane rekomendacje i działania korygujące |
| Oś czasu | Kiedy ryzyko zostało zidentyfikowane i jak ewoluowała jego ocena |
| Zasoby | Powiązane zasoby, których dotyczy ryzyko |
| Incydenty | Zdarzenia powiązane z tym ryzykiem |
| Wersje | Każda zmiana oceny zapisywana jest jako nowa wersja |
Filtrowanie i wyszukiwanie
Użyj filtrów w górnej belce, aby zawęzić listę według:
- Poziom ryzyka (niskie / średnie / wysokie / krytyczne)
- Obszar ryzyka
- Właściciel ryzyka
- Status (aktywne / zaakceptowane / zarchiwizowane)
Pole wyszukiwania filtruje po nazwie zasobu i opisie podatności.
Eksport
Z listy ryzyk kliknij Eksportuj - dostępne są Excel (.xlsx) i CSV (oraz ewentualny wybór kolumn w dialogu). Z podglądu pojedynczego ryzyka użyj Eksport w pasku podglądu (PDF lub ZIP z załącznikami), zgodnie z opisem podglądu.
Pogłębiona analiza
Dla wybranego zasobu lub kategorii możesz przeprowadzić pogłębioną analizę zagrożeń. Więcej informacji: Analiza ryzyka.
Co dalej?
- Analiza ryzyka - szczegółowa ocena zagrożeń dla zasobu lub kategorii
- Zalecenia - wpisy w rejestrze zaleceń powiązane z kartami ryzyka
- Działania - formalne działania z dowodem realizacji